Le cheval de Troie Emotet est récemment passé d’une menace majeure de cybersécurité à une simple farce lorsque ses charges utiles ont été remplacées par des GIF animés inoffensifs.
Profitant d’une faiblesse dans la façon dont les composants malveillants d’Emotet étaient stockés, les pirates informatiques ont enfilé leurs masques de justicier et ont saboté les opérations de la cybermenace récemment relancée.
Bien que très efficace et assez déroutant, l’incident ne doit pas détourner notre attention de deux points clefs.
Premièrement
Alors que la farce a désactivé environ un quart de tous les téléchargements de charges utiles des logiciels malveillants Emotet , le botnet reste une menace très réelle et constitue un vecteur de premier ordre pour les attaques telles que les ransomwares.
Deuxièmement
S’appuyer sur des opérations ponctuelles de cyber-justiciers n’est pas une stratégie de sécurité durable.
Pour garder les botnets Emotet actifs restants et d’autres cybermenaces hors de leur environnement, les entreprises doivent s’appuyer sur des mesures plus robustes et fiables basées sur l’interception SSL ( inspection SSL ) et le décryptage SSL.
Qu’est-ce qu’Emotet Malware (aka Emotet Trojan) et est-ce une menace?
Encore aujourd’hui et malgrès l’intervention des cyber-justicier (White Hat), les logiciels malveillants Emotet représentent l’une des menaces les plus importantes auxquelles les entreprises sont confrontées.
Avant de devenir temporairement inactif en février 2020, le botnet Emotet était l’opération de cybercriminalité la plus grande et la plus active au monde, comme indiqué ci-dessous.
A10 Networks – Classement menaces Emotet
Classement menaces Emotet ransomware
La méthode utilisée était simple et trop familière :
les spams ciblaient les utilisateurs avec des liens habituellement liés à l’entreprise ou des pièces jointes Word contenant en fait des macros malveillantes conçues pour télécharger et installer le cheval de Troie Emotet sur l’appareil de l’utilisateur.
Après s’être connecté à un serveur de commande et de contrôle Emotet trojan, l’appareil devient alors un outil servant de canal pour les ransomwares ou autres exploits, notamment Qbot , IcedID , Gootkit et The Trick.
Après plusieurs mois sans incident
Le cheval de Troie Emotet a refait surface brutalement avec un regain d’activité à la mi-juillet 2020.
Cette fois-ci, le règne de terreur du botnet a pris une tournure inattendue lorsque les charges utiles sur lesquelles ses opérateurs avaient stocké des sites WordPress mal sécurisés ont été remplacés par une série de GIF populaires.
Au lieu d’être alertés d’une cyberattaque réussie, les cibles respectives n’ont rien reçu de plus alarmant qu’une image de Blink 182 , James Franco ou Hackerman .
A10 Networks – Emotet malware gif animés “White Hats”
Les charges utiles des logiciels malveillants Emotet remplacées par des GIF animés
Tout est très amusant… cette fois.
Mais la question demeure: et si les “White Hat” avaient laissé leurs masques dans le tiroir au lieu de s’attaquer au cheval de Troie Emotet?
Et qu’en est-il des innombrables autres attaques de logiciels malveillants qui se poursuivent sans entrave, livrant leurs charges utiles comme prévu?
Vue dans l’angle mort du chiffrement avec l’interception SSL (inspection SSL)
Les attaques de logiciels malveillants telles qu’Emotet tirent souvent parti d’une faille fondamentale de la sécurité Internet.
Pour protéger les données, la plupart des entreprises s’appuient régulièrement sur le cryptage SSL ou le cryptage TLS.
Cette pratique est très efficace pour empêcher l’usurpation d’identité, les attaques d’intermédiaire et d’autres exploits courants de compromettre la sécurité et la confidentialité des données.
Malheureusement, cela crée également une cachette idéale pour les pirates.
Pour les dispositifs de sécurité inspectant les communications entrantes à la recherche de menaces, le trafic chiffré apparaît comme du charabia, y compris des logiciels malveillants.
En fait, plus de la moitié des attaques de logiciels malveillants observées aujourd’hui utilisent une forme de cryptage.
En conséquence, l’angle mort du cryptage SSL finit par être un trou majeur dans la stratégie de défense de l’organisation.
Le moyen le plus évident de résoudre ce problème serait de décrypter le trafic à son arrivée pour activer l’inspection SSL avant de le transmettre à sa destination au sein de l’organisation, une approche connue sous le nom d’interception SSL.
Mais là aussi, des problèmes surgissent!
D’une part, certains types de données ne sont pas autorisés à être déchiffrés, tels que les dossiers de patients médicaux régis par des normes de confidentialité telles que HIPAA, ce qui rend le déchiffrement SSL universel inapproprié.
Et pour tout type de trafic, le déchiffrement SSL peut considérablement dégrader les performances des dispositifs de sécurité tout en augmentant la latence du réseau, les goulots d’étranglement, les coûts et la complexité.
Multipliez ces impacts par le nombre de composants dans la pile de sécurité d’entreprise typique (DLP, antivirus, pare-feu, IPS et IDS) et le problème devient clair.
Le produit d’inspection SSL d’A10 Networks sauve la journée
A10 Networks Thunder® SSL Insight (SSLi®) élimine l’ angle mort du cryptage SSL pour permettre une interception SSL efficace.
Au lieu de s’appuyer sur le décryptage SSL distribué par à coup, les entreprises peuvent utiliser une seule solution Thunder SSLi pour décrypter le trafic une fois, autoriser l’inspection SSL par autant de dispositifs de sécurité séparés que nécessaire en tandem, puis le rechiffrer une fois à la sortie du réseau.
Pour garantir la conformité réglementaire, la solution permet également aux politiques de déchiffrement SSL de contourner sélectivement le trafic pour des pages Web et des domaines spécifiques tout en s’assurant que tout le reste est déchiffré.
Nous devrions célébrer le travail des “White Hats” qui ont dirigé Emotet.
Ce n’est pas tous les jours qu’une cybermenace mortelle perd en dangerosité.
Mais après avoir bien ri à leurs dépens, nous devons nous concentrer sur le fait que des attaques comme Emotet n’ont aucun moyen de réussir à l’avenir sans l’aide d’une justice implacable.
Source : A10 Networks
